Entender qué es un SOC (Security Operations Center) debe ser una de sus prioridades al diseñar la estrategia de seguridad de su empresa. Esta solución centraliza los procesos de seguridad esenciales, por lo cual brinda a su organización medidas integrales de protección y detección de amenazas en todo momento.
Ya sea que necesite proteger una red, un edificio, una ubicación o un equipo de personas, un SOC representa una ayuda de gran relevancia. Ahora bien, ¿es mejor contratarlo de forma tercerizada o crear uno internamente? En las siguientes líneas analizamos a fondo este concepto para que pueda tomar la decisión adecuada para su compañía.
Un SOC o Centro de Operaciones de Seguridad hace referencia a las herramientas, los equipos y recursos humanos, la metodología y la tecnología que se emplea para afrontar a las posibles amenazas que afectan a la infraestructura local y en la nube de una empresa.
Esta es una opción conveniente y rentable para las organizaciones, orientada a identificar y responder a posibles problemas de seguridad informática, desde ciberataques que han sido tendencia en los últimos años, como secuestro de datos (ransomware) y suplantación de identidad (phishing), hasta incidentes de Ciberseguridad provocados por fraudes y complicidades internas.
Para las organizaciones, existen dos enfoques posibles para contar con un Centro de Operaciones de Ciberseguridad: crearlo por sí mismas o subcontratarlo. Identificar cuál es la mejor manera de disponer de esta solución es el primer paso para construir una estrategia de amplio impacto y a largo plazo.
La subcontratación es una manera razonable de monitorear las alertas de la red y, por lo general, implica contratar a un Proveedor de Servicios Gestionados de Seguridad (MSSP) para analizar estas alertas en busca de posibles comportamientos maliciosos para descartar aquellos que no lo son e informar los que son dañinos.
En el caso del desarrollo interno, tiene como principales beneficios la agilidad de la comunicación y la construcción de una infraestructura robusta en términos de seguridad.
A continuación, profundizamos en el análisis de cada alternativa.
En este punto debemos analizar la practicidad de esta opción, pero también valorar posibles limitaciones del servicio de los proveedores externos.
Entre las principales destacan:
Cuando contrata operadores de seguridad profesionales, está pagando por un equipo de expertos en la industria de la más alta calidad.
Equipos donde cada miembro aporta un conjunto de habilidades diferentes pero esenciales, y todos cuentan con conocimientos en áreas de Ciberseguridad en las posiblemente sus colaboradores carecen de experiencia.
Los proveedores de SOC cuentan con las herramientas y la infraestructura necesarias para realizar el trabajo eficazmente, lo que le permite ahorrar tiempo y dinero.
La contratación tercerizada de todo un equipo SOC garantiza que recibirá el mejor servicio de personas que saben cómo trabajar en equipo de manera efectiva.
Además, un equipo profesional también procura capacitar al personal sobre la prevención de amenazas y compartir conocimientos con la gerencia, con el fin de que todos puedan trabajar de manera segura.
Los MSSP deben ofrecer capacidades que permitan filtrar alertas falsas para que los análisis solo se realicen en amenazas legítimas.
Este tipo de monitoreo continuo y proactivo de amenazas es difícil de llevar a cabo por el equipo de Ciberseguridad de una empresa.
Los proveedores de SOC conocen bien las soluciones escalables y brindan planes de crecimiento efectivos a medida que su compañía aumente su volumen de operaciones e información.
Por lo tanto, es necesario la contratación de expertos en seguridad para monitorear los cambios organizacionales y garantizar que las medidas de Ciberseguridad satisfagan sus necesidades a medida que el negocio se expande.
Contar con un equipo profesional le garantiza que podrá implementar prácticas que cumplan con todas las normas de seguridad requeridas.
Algunos desafíos que deben ser considerados son los siguientes:
Es posible que el MSSP solo pueda analizar un conjunto específico de registros de alerta generados por una empresa, y las alertas de aplicaciones como bases de datos pueden estar fuera de su área de especialización.
También es posible que, si el MSSP también es proveedor de hardware o herramientas, solo pueda analizar registros de sus propios productos.
Es un desafío asociado a cualquier tercerización, y un Centro de Operaciones de Ciberseguridad no es la excepción. En este sentido, la clave radica en encontrar al proveedor adecuado, con ágiles tiempos de respuesta y seguimiento continuo.
La principal ventaja de tener un SOC interno es un mayor grado de control sobre las operaciones de Ciberseguridad, así como la oportunidad de conseguir exactamente los servicios que necesita la empresa.
Además, también proporciona la base para la creación de futuros servicios de Ciberseguridad, como la respuesta a incidentes, la gestión de vulnerabilidades y de amenazas externas e internas.
No obstante, los costos representan una de las principales barreras para ejecutarlo.
Los siguientes puntos juegan a favor de un SOC interno:
En primer lugar, entre las ventajas debe considerar que la coordinación de la respuesta a incidentes suele ser mucho más rápida y fácil cuando los procesos se llevan a cabo internamente.
Las operaciones de seguridad y las capacidades de monitoreo se diseñan para cumplir de mejor forma con los requisitos de la empresa.
Un SOC interno funciona como la base para una capacidad integral de respuesta a incidentes y amenazas.
El almacenamiento interno de datos de registro de eventos reduce los riesgos inherentes a la transferencia externa de información requerida para informar incidentes de seguridad.
Los costos y complejidades a favor juegan en contra de la idea de desarrollar un SOC interno:
Crear un SOC interno requiere de un presupuesto significativo, incluyendo una inversión inicial en TI y personal calificado. Si está enfocado en la reducción de costes y en el máximo aprovechamiento de sus recursos líquidos disponibles, probablemente un centro interno no sea la mejor opción en estos momentos.
Además del dinero, se enfrentará a una importante inversión de tiempo en la planificación e implementación del SOC.
Encontrar y contratar a las personas que sepan qué es un SOC y tengan la capacitación, habilidades y experiencia adecuada, o capacitar al personal interno existente, requiere una cantidad significativa de tiempo y dinero.
De igual forma que sucede con muchas decisiones de Ciberseguridad, el enfoque adecuado para la mayoría de las empresas es encontrar el equilibrio entre gestionar un SOC por su cuenta y subcontratarlo.
Una alternativa interesante para las organizaciones que desean desarrollar su propio SOC, es contratar a un proveedor externo, que ya cuenten con las nuevas tecnologías y mecanismos necesarios, mientras lo desarrollan de manera interna.
De esta manera, se beneficia de los servicios de Ciberseguridad que necesita ahora mismo, incluyendo el personal capacitado y experimentado que un MSSP proporciona, mientras crea un Centro de Operaciones de Seguridad por su cuenta.
Ahora que sabe qué es un SOC y sus particularidades cuando se gestiona tanto interna como externamente, ¡queremos invitarle a conocer los servicios de Ciberseguridad que ne Digital proporciona a su organización!